某公司某台电脑中招了，公司网警反馈内部有异常流量，涉嫌盗取企业重要信息。告警提示访问了4个C2 地址（6018.baidu787.com, 47.238.91.166, 9007.360sdgg.com, 47.238.91.166），通过威胁情报平台（微步）查到这些地址关联银狐木马，如下所示：

到此为止，只知道中了银狐病毒，具体样本情况还不清楚。

采用火绒进行全盘病毒查杀，扫出来下表里的4个文件都是病毒，经过分析后实际只有breakpad.dll有问题。

客户反馈重启电脑，会有弹框报错，提示系统启动时会自动运行fdalxkhzz.exe，进程起来后自动加载了download目录下的bb.jpg文件。

到这里基本断定两点：
（1）fdalxkhzz.exe 有开机启动项


（2）bb.jpg是shellcode文件（这步具体看方法2）

用火绒箭分析，发现explorer.exe有外联行为

使用PCHunter分析 explorer进程，查看它的线程列表，发现有行是红色的，没有关联模块，很可能就是分配来执行shellcode，记住地址（fc00000）

然后PCHunter查看explorer进程的内存空间，定位到fc00000（内存有问题，属性是READ|WRITE|EXECUTE），dump fc00000 fc10000 fc20000 三个内存块到 bin文件

010 editor 对比了下， bb.jpg 跟 bin文件内容是一样的，说明 bb.jpg 就是shellcode内容，会被注入到exploer进程。用ida查看bb.jpg 文件的汇编代码，总体就是4个函数，如下所示：

这里简单说明下每个函数的作用，sub_0是入口函数，负责整体流程，先获取所需的系统函数地址，然后执行loop循环，上线C2。

online1_3C8 函数是具体的上线模块，执行网络函数，跟C2通信，接收第二个阶段的shellcode，使用 sRDI 方式加载dll，执行更复杂的功能。

online1_624 功能类似，也是上线用的，备份函数。
GetApi_958 是通过hash匹配算法 定位 kernel32.dll的基地址（shellcode常规功能）。
到此，bb.jpg 已经做到远控了。

上面截图说明了 fdalxkhzz.exe 开机就要加载 bb.jpg，但还有个疑问是 breakpad.dll 在这个过程中的作用是什么。直接上IDA查看fdalxkhzz.exe，看到有动态加载 breakpad.dll的操作，并且调用了两个导出函数，如下所示：

查看fdalxkhzz.exe数签是合法的，基本可以断定这个属于白+黑的攻击，白的是exe文件，黑的是dll文件，利用白程序对黑库的默认依赖，构造1个黑dll放在同一目录下进行加载。这个攻击方法还有个别名叫 dll侧加载。

breakpad.dll 有470M，符合恶意样本的特征，文件这么大就是为了过杀软的静态扫描，要么是指令膨胀了，要么是填充了很多无效的字节（实际是这种情况）。对于fdalxkhzz.exe、breakpad.dll、bb.jpg 的具体分析可以参考：332K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6^5P5W2)9J5k6h3q4D9K9i4W2#2L8W2)9J5k6h3y4G2L8g2)9J5c8Y4c8Q4x3V1j5I4y4e0R3$3y4W2)9K6c8Y4c8A6L8h3g2Q4y4h3k6Q4y4h3j5I4x3K6p5I4i4K6y4p5c8%4q4B7P5r3&6p5k6@1c8&6c8@1c8c8x3q4q4p5i4K6t1#2x3V1j5^5M7X3W2c8k6U0g2^5e0#2V1K6i4K6t1#2x3V1u0u0y4K6m8T1c8l9`.`.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课